聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
在这些漏洞中,最严重的是影响 BIG-IP Next Central Manager 的CVE-2024-39809,它是一个会话失效不充分漏洞,因用户会话刷新令牌未在登出时失效而引发。
F5公司在安全公告中提到,“能够访问用户会话cookie 的攻击者能够在用户登出后,继续使用该会话来访问 BIG-IP Next Central Manager 和由 BIG-IP Next Central Manager 管理的系统。不存在数据面板暴露问题,只是一个控制面板问题。”该漏洞影响 BIG-IP Next Central Manager 20.1.0版本,已在20.2.0版本中修复。
无法应用该修复方案的用户可通过如下方式缓解该漏洞:将管理权限仅限制给可信用户和设备、使用webUI后登出并关闭所有的web浏览器实例,并使用不同的浏览器管理 webUI等。
第二个高危漏洞是CVE-2024-39778,是位于BIG-IP中的视线弱点,可导致虚拟服务器不再处理客户端连接,流量管理微内核 (TMM) 在配置了高速桥 (HSB) 的无状态虚拟服务器上停止。F5公司解释称,“当系统自动重启时,流量被破坏。该漏洞可导致远程未认证攻击者在 BIG-IP 系统上引发拒绝服务。并不存在控制面板暴露,只是数据面板问题。”该漏洞影响BIG-IP 15.x、16.x 和17.x 版本,已在16.1.5和17.1.1中修复。将虚拟服务器配置为“标准 (Standard)”并将相关UDP配置的“空闲超时”值修改为使用“即时 (Immediate)”可缓解该漏洞。
另外一个高危漏洞位于可使用 MQTT 过滤器模块的 NGINX Plus 实例中,编号为CVE-2024-39792,可导致引发资源利用增多的未披露请求。成功利用该漏洞可导致性能降级,最终导致NGINX的master和worker流程被强制或手动重启。NGINX Plus 版本 R32 P1和R31 P3修复了该漏洞,不过可通过禁用MQTT过滤器模块的方式缓解该漏洞。
第四个高危漏洞是CVE-2024-41727,它是资源耗尽增多漏洞,影响在 r2000和r4000 系列硬件上运行的BIG-IP多租户和使用 Intel E810 SR-10V NIC 的BIG-IP 虚拟版本。远程未认证攻击者可利用该漏洞降级服务,直到TMM进程被迫重启,引发拒绝服务条件。该漏洞影响 BIG-IP 15.x 和16.x,已在16.1.5版本中修复。
F5公司还修复了位于 BIG-IP和NGINX(Plus和Open Source)中的五个中危漏洞,它们可导致拒绝服务条件、账户登出、用户名称暴露和凭据登录在日志文件后果。
F5公司并未提到这些漏洞是否已遭在野利用。更多信息可参见该公司发布的季度安全通告。
https://www.securityweek.com/f5-patches-high-severity-vulnerabilities-in-big-ip-nginx-plus/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~